網格環境中的安全性問題研究

摘要:網格作為第三代網絡信息技術，它所具備的虛擬性、異構性、集成性及動態自適應性特征，決定了網格安全面臨著巨大的困難和挑戰。本文討論了網格安全目前面臨的問題及其安全策略。

關鍵詞:網格安全；安全策略；安全模型

網格技術是近年來國際上信息技術領域的熱點研究課題，是以互聯網為基礎的一門新興技術。它的目標是將地理上廣泛分布、系統異構的各種資源(如高性能計算機、大型數據庫、傳感器、遠程設備等)全面整合在一起， 實現網絡虛擬環境上的高性能資源共享和協同工作。

網格技術有下列特點：(1) 用戶數量大并且動態變化；(2) 資源種類繁多，數量巨大，分布廣泛并且動態變化；(3) 一個計算過程可由多個進程組成并且可以在執行期間動態的申請、使用和釋放資源；(4) 資源和用戶可屬于多個不同的組織，資源可支持不同的認證、授權機制以及策略；(5) 用戶在不同的資源上可有不同的標識，為了記賬和訪問控制，一個單獨的用戶將和不同站點的不同本地名字空間、憑證以及賬號相關聯。

網格技術的最大優點之一是有利于實現地理上廣泛分布的各種計算資源和數據資源的共享，但這些共享必須建立在安全訪問的基礎上。由于網格技術的大規模、高速、分布、異構、動態、可擴展等特性，也使得安全問題成為網格技術得到普遍使用的一大阻礙，并且隨著網格逐漸從實驗和科研階段進入商業領域，解決網格環境中的安全問題已經成為當務之急。

1.網格安全需求

在網格環境中，不同網格結點間的通信是通過Internet 來完成的。因此，網格環境是建立在Internet安全的基礎上。目前Internet 一般提供兩種安全保障機制：訪問控制和安全通信。訪問控制用來保護各種資源不被非授權用戶使用，而安全通信保證數據的保密性和完整性，以及各通信端的不可否認性。

然而，網格特性在于大量資源的使用、資源的動態請求、對多個管理域中資源的使用、復雜的通信結構以及嚴格的性能要求等。現有安全技術已經不能勝任這種共享化更高的要求。這就決定了網格面臨著更多安全問題，這也為網格提出了一系列新的安全需求。

目前，網格安全問題可以歸納為以下三個方面：

(1) 整體性問題：因為期望被某一種安全技術解決所有網格的安全問題是不現實的， 那么應如何實現對現有安全體系結構和跨平臺、跨主模式的集成？

(2) 共同協作性問題：如何在有著不同安全機和策略的虛擬組織中的相互調用服務。

(3) 信任關系問題：如何在動態網格環境下定、管理和執行信任策略。

針對以上網格安全存在的問題，實現安全網需要滿足以下三個方面的要求：

(1) 網格認證要求，包括單一登陸、代理、協同認證、資源認證、基于用戶的信任關系。

(2) 網格通信保護要求，包括靈活的信息保護策略、支持各種可靠的通信協議、支持獨立數據單元的安全通信。

(3) 網格授權要求，包括資源所有者或者資源所有者代理授權、限制代理。

2.網格安全模型視圖

根據開放網格服務結構(Open Grid Service Architecture，OGSA)中的網格服務概念，結合網格環境的安全問題抽象出網格安全模型視圖，如圖1所示。

網格安全模型視圖主要分為3層：網絡安全傳輸層、網格安全服務層、網格安全服務集成接口層。其中，網格安全服務主要包括授權服務、委托服務、加密服務、認證服務、防火墻、入侵檢測、審核服務、數字簽名、安全登錄，以及其它安全服務。網格安全服務層中的服務是一個可擴充的結構。在網絡安全傳輸層、網格安全服務層涉及到網格安全管理的策略問題。網格安全策略管理主要是解決網格安全服務之間如何無縫連接，以及對這些服務進行比較靈活的配置的問題。網格安全服務集成接口主要通過安全服務接口為網格其他非安全服務(例如，虛擬組織服務、資源管理服務、任務調度服務等)和網格應用提供安全保障機制。網絡傳輸安全為以上的安全服務提供在網絡上安全地傳輸機制。

在網格安全模型邏輯視圖中，各個安全功能組件之間存在著交互。比如，在需要數字簽名服務的時候，就需要調用加密服務的功能。至于采用何種加密算法，這就是安全策略的管理的內容。安全管理策略將為用戶提供靈活的服務界面，讓用戶自己進行選擇。

一般良好的網格安全模型應滿足以下安全服務的特性：

(1) 認證：對實體所宣稱的身份確定其有效性的過程。那些請求訪問某個受保護組件的請求發起者，或者是某個安全會話或事務處理的發起者，必須提供能夠證實其身份的憑證信息。

(2) 授權：根據屬性、斷言或相關環境來確定某個已被證實身份的實體是否被允許訪問某個受保護資源的過程。

(3) 完整性：防止由某個未授權用戶或實體對某個資源進行修改或破壞。它通常和數據完整性同義，數據完整性確保數據未被惡意或偶然修改或破壞。

(4) 機密性：信息對于未授權用戶、實體或過程不能泄露。

(5) 審核：將所有系統活動以足以再現事件的程度來進行記錄。

(6) 不可否認性：在某個通信或事務處理過程結束之后，防止其中的任何參與者否認他(她)在該過程所充當的角色。

(7) 安全的單點登錄：這一能力允許某個經過認證的用戶 能夠在不用重新認證的情況下，訪問所有允許訪問的資源。用戶會話的有效性可以通過諸如已連接時間、日期時間、憑證信息的到期或任何其他系統級屬性等因素來進行限制。一旦系統終止了用戶的會話，則系統中的所有組件應拒絕該用戶的訪問，直到他(她)重新被認證。

(8) 安全性管理：對系統中的安全性控制，以及相關數據的管理必須是安全的。此外，安全性管理不能給系統體系結構或設計帶來不合理的限制。

(9) 統一的安全性粒度：這一屬性確保網格體系結構中的不同組件和子系統具有類似的資源定義和粒度，并以類似的方式定義訪問控制規則。如果在某個體系結構中，其中一個子系統在其數據庫中定義了多個級別的安全性，而另外一個子系統則只能識別兩種級別的用戶(如具有root權限的管理員和沒有root權限的客戶) ，則顯然在這一體系結構中定義安全性策略是很困難的。

3.網格安全策略

為了更系統、更有效地解決網格安全問題，滿足網格安全的要求，網格安全策略為此定義了安全主體、安全客體以及它們之間的關系，定義了一系列的規則。

(1) 網格環境包括多個信任域。該策略元素說明網格安全策略必須集成一個局部可管理的用戶和資源的異構集合。總體上，網格環境限制或者不影響局部安全策略。這樣，既不用代替局部安全策略，也不允許覆蓋局部策略決定。因此，網格安全策略必須集中于控制域間相互作用和映射域間操作作為局部安全策略。

(2) 單一信任域內的操作僅受局部安全策略的影響。網格安全策略沒有在局部操作中額外增加安全操作和服務。局部安全策略可通過許多種方法來執行。

(3) 對每個信任域，都存在一個從全局到局部主體的映象。實際上，每個資源用戶將有兩個名字，一個全局名字和一個局部資源名字。全局名字到局部名字的映射是特定的位置說明。

(4) 位于不同信任域的實體間的操作要求相鑒別。一個被鑒別的全局主體映象為一個局部體被看作等同于局部主體的本地認證。換言之，在一個信任域內，網格鑒別策略和局部映象的結合滿足于主機域內的安全對象。

(5) 所有訪問控制決定都由局部主體在本地做出。該策略組成部分要求訪問控制決定權保留在局部系統管理員手中。

(6) 一個程序或過程可以代表用戶操作，從屬于用戶權利的子集。該策略對支持長生命周期程序的執行是必須的，這些程序可以獲得動態資源而無需額外的用戶相互作用。它也要求支持過程的創建。

(7) 代表同一信任域內同一主體的過程可以共享單一的信用集。網格計算可能包含一個單一資源上的上百個進程。該策略組成部分通過避免為每個進程創建一個惟一憑證，使得安全結構可擴展到大規模的并行應用。

如何將現有的各種標準協議有機地融合在一起，從而無縫地將這些協議和技術集成到網格環境中是網格研究的難點，而如何在這個過程中解決網格安全問題更是網格研究的核心問題，如何形成一體化的安全規則是網格安全研究中的關鍵。因此，對網格安全的基礎研究顯得至關重要而又刻不容緩，而對網格安全技術的創新更是大有可為的。本文根據網格安全的需求，分析了網格安全策略和實現技術， 其中主要包括PKI、SSL/ TLS、單點登錄和MyProxy 等等。在網格安全的實施方案中主要闡述了GSI 的實現機制，并給出網格安全解決方案的發展趨勢，即將XML 安全標準和Web服務的安全性規范融合到網格安全的體系結構中。

參考文獻：

[1] 吳羽.網格計算安全研究與解決途徑[J].計算機與現代化，2005.

[2] 陳華.網格的安全體系結構[D].西安電子科技大學，2004.

[3] 王一夫，陳松喬，范國闖.基于網格計算中的安全問題研究[J] .湖南師范大學自然科學學報，2005.